A biztonsági előírásaikra büszke las vegasi kaszinók felhasználóinak adatait lopták el egyszerű trükkökkel hackerek, ami rávilágít az identitáskezelés digitális problémáira.
Hatalmas kibertámadások érték az MGM Resorts és Caesars kaszinóóriásokat, amelyek során a hackerek a szobakulcsoktól a játékgépekig minden online belépési adatot megszereztek. Sok közelmúltbeli incidenshez hasonlóan ez is figyelmeztetés, hogy javítani kell a digitális identitással kapcsolatos biztonságot, mert az átfogó támadás innen, a hamis profilokról indult.
Ennek a adatbiztonsági jogsértésnek az eredettörténete hasonló az utóbbi időben sokszor látottakhoz: a hackerek felhívták a kaszinókat az ügyfelek nevében, és a jelszavuk megújítását kérték, a válasz emailt azonban eltérítették, és így magukat valódi ügyfeleknek kiadva százszámra tudtak bejelentkezni a kaszinók rendszerébe.
Ugyanez a csoport állítólag számos más szektorban is végrehajtott hasonló támadásokat, beleértve a MGM riválisát, azCaesars Entertainment kaszinót, amely állítólag 15 millió dollárt fizetett azért, hogy napokkal az MGM támadás előtt visszaszerezze adatait.
Meghökkentő a tény, hogy a kaszinócégeket – amelyeknél a biztonságba fektetett befektetések központi szerepet játszanak – ilyen merészen feltörhettek. Sok hálózatban egy alapvető vakfoltot fedtek fel: kaszinócégek sem rendelkeznek hatékony eszközökkel annak bizonyítására, hogy a rendszerüket használó emberek biztosan azok-e, akiknek kiadják magukat.
Pedig az arcfelismerő technológiának köszönhetően egy ismert kártyacsalót gyorsan kiszúrnak és kikísérnek a kaszinóból. A digitális hálózat védelmét illetően azonban sok szerencsejáték-cég továbbra is a jelszavakra támaszkodik, amelyek az identitás- és hozzáférés-kezelés (IAM) gyenge láncszemének bizonyultak.
Az identitáskezelés sebezhető pontjai nyilvánosságra kerültek
Az MGM-támadás rávilágít arra, hogy az identitáskezelő rendszerek mennyire sebezhetőek a hackerekkel szemben, amikor a személyazonosság-ellenőrzés helyett a személyazonosság-hitelesítésre összpontosítanak. A megfelelő mennyiségű szociális tervezéssel a hacker manipulálni tudja a rendszert. A szervezeteknek a kiváltó okoknál kell küzdeniük ez ellen, megakadályozva, hogy ezek a hackerek bejelentkezzenek, mert ha ekkor nem tudják megállítani a számítógépes bûnözõt, mielõtt hozzáférne a hálózathoz, akkor eleve veszítettek.
Hagyományosan az identitás-hitelesítés a többtényezős hitelesítésre (MFA) támaszkodott, ami gyakran egy push értesítést vagy egy egyszer használatos kódot jelentett, amelyet a felhasználó telefonjára küldtek. Ennek ellenére még a többtényezős hitelesítés is sebezhetőnek bizonyult.
Néhány alapvető információ birtokában a hackerek felhívhatják a mobilszolgáltatót, és eljátszhatják a dühös ügyfelet, aki új telefont próbál aktiválni; rövid idő elteltével az áldozat telefonjában lévő összes információt átmásolhatják a sajátjukra, és már nyert ügyük is van. A közelmúltban számos kriptovaluta platform elleni támadást egy ilyen „SIM-feltörésre” vezettek vissza. A tolvajok állítólag becsapták a T-Mobile-t, hogy visszaállítsák a kriptoplatformok csődeljárását irányító tanácsadó cég egyik alkalmazottjának telefonját.
A rosszfiúk ma már mindenféle technológiai eszközzel fel vannak fegyverkezve, a Mesterséges Intelligenciától a személyiség hamisításokig, amelyek egy kelet-európai hackert egyetlen feltört okostelefonnal egy New York-i könyvelőnek tudnak kiadni. Eközben a vállalkozások megfizetik az árát, amiért nem használnak könnyen elérhető biztonsági technológikat az identitáskezelés biztonságuk korszerűsítésére.
A biometrikus adatokon túl: a valódi ellenőrzés szükségessége
A jelszavak feltalálása óta eltelt 60 év alatt a hozzáférés-kezelés a lepecsételt cetlik biztonságától számos hitelesítési folyamattá fejlődött, mert a hackerek célja az online világban kezdettől a hitelesítő adatok ellopása és a velük való visszaélés. A push értesítések elterjedt eszközzé váltak, de túlzottan bízunk bennük.
Az olyan kiberbiztonságot szolgáló funkciók, mint az Apple Touch ID és a Face ID, népszerűsítették a biometrikus markerek használatát a hitelesítéshez. Amint azonban a SIM-kártya feltörések kapcsán is látható, minden adatuk elopásával a mobiltelefonok a hackerek hatékony eszközei is lehetnek, nem csak a digitális védelmi módszerek jó lehetőségei.
Az identitáskezelésben el kell felejtenünk a jelszót?
A hitelesítési kulcsok, amelyek egy fizikai tokenre támaszkodnak a titkosított ellenőrző kód létrehozásához, például egy papíron szereplő kód, amit az ügyfél kap meg, javítják az MFA-t olyan hitelesítési szabványokkal, mint például a Fast Identity Online (FIDO). A Google még egy lépéssel tovább ment, és olyan kulcsot hozott létre, amely ellenáll a kvantumdekódolásnak, hogy megvédje magát a kvantumszámítógépekkel felfegyverzett hackerekkel szemben.
Ez egy szép próbálkozás, de ezeknek a hitelesítési módszereknek a gyökerében még mindig vannak jelszavak. A felhasználó személyazonosságát egy eszközhöz – általában egy mobiltelefonhoz – kötik a tényleges, igazolt személyazonosságuk helyett, amelyet biometrikus adatokkal, államilag kibocsátott személyi igazolvánnyal vagy más megbízható dokumentumokkal igazolhatnának. Az idebtitáskezelésnek modernizálódnia kell, és a puszta hitelesítéstől a tényszerű személyazonosság-ellenőrzésig kellene jutnia, ez növelné a digitális bizalmat.
A jogsértések pénzügyi következményei
Az IAM korszerűsítése előzetes befektetést igényel, amelyet a cég költségvetésébe is be kell építeni, ami időbe, pénzbe és erőfeszítésbe kerül, de csak az adatszivárgások kárszámítását kell elvégeznünk, hogy megtudjuk, hogyan térül meg. Az MGM Resortsnak a jogsértés miatti bevételkiesése meghaladhatja a napi 8 millió dollárt, és természetesen a cég részvényei is jelentős esést mutattak, amikor a hír megjelent.
Ennek a folyamatnak az első lépése a biometrikus adatok és az ellenőrzött személyazonossági okmányok rögzítése a jogosult felhasználóktól, például alkalmazottaktól, partnerektől és ügyfelektől a nulladik napon a regisztráció vagy a fiók létrehozása során, hogy a későbbiekben azonosítani lehessen őket.
Az ellenőrzött hitelesítő okmányok – például digitális alkalmazotti azonosító kártyák, digitális útlevelek és digitális oktatási bizonyítványok – olyan metaadatokat tartalmaznak, amelyek kriptográfiailag igazolják, hogy ki adta ki, és a hamisítás könnyebben észlelhető. Sajnos a biometrikus adatokat ugyanúgy el lehet lopni, mint a jelszavakat, így ezeket az adatokat is védeni kell. A blokklánc bevált technológia a digitális javak védelmére, miért ne használhatnánk a vitathatatlanul legértékesebb eszköz védelmére, amely a mi személyazonosságunk?
Az blokkláncban az elosztott főkönyvvel együtt járó, megváltoztathatatlan auditnaplók biztosíthatják, hogy ha valami nem stimmel, a cég információbiztonsági emberei lássák, hogy ki milyen erőforrásokhoz, mikor és milyen módszerrel fér hozzá.
Ahelyett, hogy elfogadnák, hogy egy felhasználó telefonját ellopták, vagy a fiókját feltörték, láthatják, hogy az élő azonosítójukat („valódi” biometrikus adatok) használták-e a hozzáféréshez. Sokkal egyszerűbbé teszi annak megállapítását, hogy mi történt, és még azelőtt reagálhatunk, hogy a rendszerünk feltörésének robbanási sugara megnő.
A hitelesítés újragondolása a digitális korban
A legalapvetőbb tanulság, hogy a legtöbb módszer, ami ma megfelel az identitás-hitelesítésnek, a másolás és beillesztés. Ez nem a felhasználó biometrikus naplózása; csak jelszó másolására és beillesztésére használják az alkalmazásban. Végső soron ez csak időtakarékos intézkedés, nem pedig biztonság.
Még a legtöbb jelszó nélküli hitelesítés is rendelkezik valahol beépített felhasználónévvel és jelszóval. A rossz szereplők továbbra is ellophatják ezt a felhasználónevet és jelszót. Amíg visszaállítják a jelszót, klehetőségük van a belépésre, mert a személyazonosság-ellenőrzés gyökere a jelszó maradt.
Vállalati internet: Tarr.hu